УДК 343.34:681.3
В.М. БЫКОВ,
доктор юридических наук, профессор
Институт экономики, управления и права (г. Казань),
В.Н. ЧЕРКАСОВ,
доктор экономических наук, профессор, заслуженный деятель науки Российской Федерации
Саратовский юридический институт МВД РФ
ПРАВОВЫЕ ПРОБЛЕМЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ПРЕСТУПЛЕНИЯМИ
В статье рассматриваются малоисследованные в науке уголовного права понятия как компьютерная информация, соотношение сведений и информации, а также их носителей. Авторы анализируют природу отчуждения информации, отмечают такую особенность компьютерной информации как отсутствие таких понятий как подлинник и копия; отмечают сложность в определении стоимости информации. Авторы указывают, что недостаточно разработаны и этические нормы в информационной сфере, а также сложности в решении вопросов и оценки действий субъектов преступлений в лане их противоправности.
Как известно, человечество вступило в новую эпоху - эпоху информационного общества. Сегодня практически вся человеческая жизнь и деятельность в меньшей или большей степени зависит от компьютеров - нет такой области деятельности человека, которая не была бы связана с использованием компьютеров. Информационные технологии - это принципиально новый инструмент, который может использоваться как в целях созидания, так и разрушения. К сожалению, вместе со стремительным ростом числа персональных компьютеров и пользователей сети Интернет растет и количество преступлений, совершаемых с использованием вычислительной техники (компьютерных преступлений).
В связи с этим Уголовный кодекс РФ 1996 года впервые ввел уголовно-правовую защиту компьютерной информации в российском уголовном законодательстве. Однако уже с большим опозданием в УК РФ появилась глава 28 "Преступления в сфере компьютерной информации". Эта глава включает в себя три статьи:
ст. 272 "Неправомерный доступ к компьютерной информации", ст. 273 "Создание, использование и распространение вредоносных программ для ЭВМ" и ст. 274 "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети".
Как вполне обоснованно считают некоторые авторы, "компьютерные преступления можно определить как противоправные, виновно совершенные, наказуемые в уголовном порядке общественно опасные деяния, предметом которых является компьютерная информация, а объектом - отношения по ее нормальному безопасному использованию" [1].
В правоприменительной практике относительно составов преступлений, указанных в ст.ст. 272-274 УК РФ, возник ряд проблем. Однако, не имея возможности в одной статье рассмотреть все эти проблемы, связанные с применением указанных трех статей УК РФ на практике, авторы рассмотрят только те проблемы, которые являются общими для всех трех составов преступлений, обозначенных в рассматриваемых статьях УК РФ.
Анализируя составы преступлений, указанных в ст.ст. 272, 273 и 274 УК РФ, нетрудно заметить, что все они призваны защищать компьютерную информацию. Так, в диспозиции ч. 1 ст. 272 УК РФ указывается, что преступлением является "неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети".
Законодатель также установил уголовную ответственность за "создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, равно использование либо распространение таких программ или машинных носителей с такими программами" (ч. 1 ст. 273 УК РФ).
Кроме того, уголовная ответственность установлена за "нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ" (ч. 1 ст. 274 УК РФ).
Во всех трех составах преступлений речь идет о защите информации, поэтому нам важно определиться с тем, что в рассмотренных нами диспозициях трех статей УК РФ следует понимать под информацией вообще и компьютерной информацией в частности. Понятно, что без точной и общепризнанной правовой трактовки указанных терминов, употребляемых в УК РФ и других законах и иных нормативных документах, невозможно их практическое применение, а также единообразная и обоснованная квалификация преступлений в данной сфере.
Как же понимаются информация и компьютерная информация в уголовном праве? Вот так, например, определяется понятие информации в одном из многочисленных комментариев к Уголовному кодексу РФ. "Под информацией (информационными ресурсами) понимаются отдельные массивы документов в информационных системах (базах данных), содержащие
сведения о лицах, предметах, событиях, процессах, населении независимо от формы их представления" [2, с. 833].
По мнению этого же автора, "компьютерная информация - это находящаяся в электронно-вычислительной (компьютерной) среде и доступная обработке с помощью ЭВМ информация о тех или иных лицах, событиях, процессах. Особенность организации компьютерной информации заключается в ее сосредоточении в отдельном файле, программе или базе данных, имеющих свои идентификационные атрибуты и являющихся предметом состава преступления в сфере компьютерной информации" [2, с. 833-834].
Рассмотрим подробнее, что же в уголовном праве следует понимать под информацией. Прежде всего, может ли информация быть объектом права, а, следовательно, объектом владения и защиты и т.п.? Попытаемся сформулировать наше собственное понятие информации не только на основе норм уголовного права, но и на основе управленческого, кибернетического подхода, однако без использования сложной специальной терминологии (изоморфизм, гомоморфизм, множества, энтропия и пр.). Информация - продукт сопоставления неким субъектом управления некоторых сведений (данных, сигналов) извне и собственных знаний, в результате чего этот субъект может принять некое решение.
Из данного определения очевидно, что сведения и информация понятия отнюдь не равнозначные. Наличие сведений без осознания их субъектом еще далеко не информация. Сведения о том, что "индекс RTF на межбанковской валютной бирже упал на 8 пунктов" отнюдь еще не информация (а для большинства населения - даже не сведения, некий "шумовой фон"). Только конкретный субъект (физическое или юридическое лицо), обладающий знаниями биржевого сленга, имеющий средства или "голубые фишки", анализирующий свои бизнес-планы и личные намерения, в состоянии принять, используя данные сведения, соответствующее решение: продавать-покупать-ничего-не-делать.
Между тем, практически во всех нормативных документах, где речь идет, собственно, о сведениях (данных), некорректно применяется термин информация, понимаемый в качестве синонима указанных терминов, что на взгляд авторов, вносит неоправданную путаницу в понятийный аппарат. Например, в Федеральном законе РФ "Об информации, информационных технологиях и защите информации" содержится следующее определение: информация - сведения (сообщения, данные) независимо от формы их представления [3].
Исходя из сказанного, в дальнейшем описании при использовании термина информация будем понимать сведения (данные). С учетом сделанных выше оговорок попытаемся выделить некоторые особенности информации как предмета уголовного права. Дело в том, что информация существенно отличается от тех материальных предметов, с которыми "привыкла" иметь дело традиционная наука уголовного права. Вот некоторые особенности информации, которые делают ее уникальным объектом в уголовном праве.
1. Как уже сказано, это неоднозначность понятия. В общественном сознании, законодательстве и иных источниках информация трактуется тождественно сведениям или данным. Как показано выше, это не совсем так. Сведения (данные) существуют объективно. Информация возникает только у субъекта, сопоставляющего сведения и свои знания для принятия управленческого решения.
2. Информация не может существовать "сама по себе", она неотделима от носителя. ГОСТ и законодатель определяют в качестве носителя физические лица и материальные объекты (в том числе физические поля). Однако при относительной простоте данного определения многое остается неясным. Например, насколько материальны физические поля (например, науке до сих пор не известна физическая природа гравитационного поля)? Не понятно, к какой категории носителей можно отнести живых существ, например, собаку, попугая и других. Они, безусловно, могут быть носителями определенной информации (в том числе и в
правовом отношении значимой), но понятно, что их трудно отнести к физическим лицам или "материальным объектам".
3. Не определена природа отчуждения информации. К ней не применимо понятие хищения, традиционно связанное с посягательствами на материальные предметы. Особенность заключается в том, что украденная (скопированная) информация одновременно остается и у собственника (владельца), который продолжает ею пользоваться и распоряжаться.
4. У информации (особенно компьютерной) отсутствуют такие понятия, как подлинник и копия, которые являются важным признаком для квалификации ряда преступлений.
5. Определение цены (стоимости) информации представляет собой большую сложность. Как известно, материальные предметы имеют цену производства и потребительскую стоимость, которые весьма тесно связаны между собой, отличаясь, как правило, на норму прибыли (кроме предметов искусства, объектов коллекционирования и т.п.). Информация по своей сути обладает только потребительской, то есть определяемой субъектом стоимостью. При этом, в случае кражи (копирования) ее цена может как уменьшаться, так и возрастать.
6. Недостаточно разработаны этические нормы в информационной сфере. Они практически полностью отсутствуют в обыденной жизни. В обычном сознании лица, где предметом преступного посягательства является компьютерная информация, все действия лица по поводу этой информации нередко не осознаются им как преступные. Лицо, которое никогда не посягнет на чужую (материальную) собственность, без малейшего угрызения совести будет использовать, например, контрафактную программу.
7. И, наконец, о главном - о субъекте преступлений такого рода, который отнюдь не всегда оценивает свои действия как противоправные. Точнее сказать, что этот субъект имеет свои воззрения и оправдания своим противоправным действиям.
Оставлять это без внимания криминологам и специалистам уголовного права, видимо, не
следует. Во всяком случае, данное явление следует исследовать. Может быть, это не просто издержки морали отдельных личностей? А может быть, это проявление новой субкультуры, новой идеологии значительной массы людей? В настоящее время в мире существует около миллиарда пользователей "всемирной паутины". Предположим, что хотя бы 10% из них разделяют "Манифест хакера" или "Декларацию независимости киберпространства" (согласно некоторым исследованиям, таких лиц значительно больше)1.
Вот некоторые основополагающие идеи этих документов: "Вся информация должна быть доступной", "Мы творим мир, где кто угодно и где угодно может высказывать свои мнения ... не испытывая страха, что его принудят к молчанию или согласию с мнением большинства", "Ваши правовые понятия собственности, выражение личности, передвижения и контекста к нам не приложимы".
Здесь выражен новый и несколько неожиданный взгляд большого количества людей как на нормы уголовного права о защите компьютерной информации, так и на право владения информацией вообще. Если на минуту встать на эту точку зрения, то нельзя не увидеть определенной логики, с позиции уголовного права существенно искаженной, в вопросах, которые ставят сторонники "открытого информационного мира", например:
- Почему чиновник решает, что можно, а чего мне нельзя знать?
- И почему я не могу иметь доступ к любой книге, опубликованной в Интернете?
- Что такое, например, тайна вклада, и нужна ли она честному человеку?
- Открытия, изобретения должны принадлежать всему человечеству или некоему собственнику (за использование бинома Ньютона почему-то никто не платит)?
- Почему фактически запрещена разработка и использование криптографических систем (то
1 "Дело Склярова" показало распространенность таких
воззрений и их возрастающее влияние.
есть, люди практически лишены права на тайну переписки)?
Такого рода вопросы, конечно, противоречат во многом существующим правовым нормам в уголовном и гражданском праве, но нельзя не учитывать, что это мнение многих миллионов пользователей Интернета. Одним словом, относительно уголовной ответственности за компьютерные преступления возникают новые проблемы, к разрешению которых специалисты уголовного права в настоящее время еще не приступали.
В очень серьезных уточнениях нуждаются и многие иные термины, взятые из области информационных технологий и используемые в российском уголовном праве. Особенно такие, как "машинный носитель" и "ЭВМ" (компьютер). Эти понятия являются ключевыми в диспозиции ст. 272 УК РФ. От их трактовки, собственно, зависит сама квалификация деяния: подпадает ли оно под указанную статью УК РФ? Что такое компьютер (ЭВМ)? Для определенного упрощения будем полагать, что эти термины равнозначны, хотя, по мнению авторов, это далеко не так [4; 5; 6].
Правоприменительная практика уже сталкивалась с подобной проблемой.
В 2003 году2 городской суд Пролетарского района г. Саранска осудил Э. на один год лишения свободы условно по ст. 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ". Следствием установлено, что программа, созданная Э., позволяла изменять и обнулять данные по выручке, которые хранились в фискальной памяти контрольно-кассовых машин, изменять дату, количество покупок. Адвокат подсудимого строил защиту на утверждении, что термин "ЭВМ" не применим к кассовому аппарату. Однако суд признал доводы защитника несостоятельными. Вопрос же о том, является ли кассовый аппарат компьютером (ЭВМ), так и остался открытым.
Уже в начале века появились и получили широкое распространение объекты, весьма от-
2 РИА "Новости", 27.02.2003.
личные от "привычного" персонального компьютера, но, по сути, являющиеся таковыми. Как, например, назвать устройство со следующими параметрами: терминал WA3050 от Sagem, сочетающий функции карманного компьютера и сотового телефона стандарта GSM, распознающий рукописный текст, поставляемый с комплектом ПО (Word, Excel, Outlook, Internet Explorer), имеющий ИК-порт, USB-порт, устройство громкой связи, цифровой диктофон и МР3-плеер? Кстати, весит этот "монстр" около 150 г [7].
По мнению авторов, в настоящее время целесообразно принять, хотя бы условно, некое самое обобщенное понятие компьютера, под которое должны подпадать любые автоматизированные устройства от микропроцессора круиз-контроля в автомобиле до современной программируемой стиральной машины.
На взгляд авторов, это определение можно представить в следующем виде: компьютер -техническое устройство, предназначенное для ввода, хранения, обработки, передачи и выдачи информации независимо от конкретного технологического исполнения3.
Весьма важен для квалификации преступного деяния, совершенного в сфере информационных технологий, термин "машинный носитель", входящий в диспозицию ст. 272 УК РФ. Собственно, если документ не является таковым, то квалификация деяния по указанной статье как компьютерного преступления вообще невозможна.
Итак, "носитель информации - физическое лицо или материальный объект, в том числе физические поля, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов". А что такое машинный носитель? На обыденном уровне это воспринимается как некое перечисление носителей, известных автору того или иного нормативного документа: жесткие
3
При таком определении ЭВМ - один из частных случаев компьютера, который может быть реализован в биотехнологиях, нанотехнологиях и пр.
диски, дискеты, СБ-, БУО-диски, иЗВ-устрой-ства и т.п. Вряд ли кто-то согласится считать таким носителем лист бумаги с печатным текстом. А почему, собственно, нет?
Современные компьютерные технологии по существу стерли грань между машинным носителем информации и "немашинным". Информация с листа бумаги и с дискеты одинаково легко вводится в компьютер. Просто при этом используются различные технические устройства ввода. В первом случае - сканер, во втором - дисковод.
Таким образом, машинный носитель информации - это носитель информации (в смысле указанного ГОСТа), ввод данных с которого в компьютер возможен в автоматическом режиме. Возможно, использовать указанное определение следует применительно к конкретному компьютеру, обладающему определенными техническими характеристиками. В частности, вполне возможен вариант, когда этот компьютер оснащен анализатором речи. Будет ли в этом случае голос машинным носителем (по определению ГОСТа голос - носитель информации -физическое поле)?
С другой стороны, считать ли 5-дюймовую дискету машинным носителем? Вроде - бесспорно, но где сейчас найти компьютер с таким дисководом? У одного из авторов этой статьи лежат несколько коробок с такими дискетами. Вряд ли он когда-нибудь узнает, что на них было. А уж о том, где в настоящее время можно "прочитать" перфоленту, перфокарту или магнитную ленту для ЭВМ "Минск-22", можно не спрашивать. Об этом уместно бы помнить сторонникам и "реализаторам" концепции перевода всех архивов России в цифровой вид. Дело благое, но как бы не забыть своевременно их перезаписывать.
В диспозиции ст.ст. 272-274 УК РФ имеется ряд иных понятий, трактовка которых тоже весьма спорна. В частности, как понимать следующие термины: блокирование, уничтожение, модификация, копирование информации?
Особенно сложно с понятием копирование. И следует ли за копирование информации устанавливать уголовную ответственность?
Некоторые авторы пишут о том, что "распространение получил подход, при котором лицу, получившему доступ к компьютерной информации, не может быть поставлено в вину ее копирование, обусловленное не зависящим от его воли ("автоматически") действием программных средств" [8].
Кроме того, следует решить, а устанавливать ли уголовную ответственность только за чтение информации (которое, кстати, по непонятным причинам вообще не упомянуто в данных статьях УК РФ)? Если вспомнить определение носителя по ГОСТу, то, скорее всего - да. Чтение - перенос с одного носителя на другой, то есть, по сути - копирование. По духу и букве норм УК РФ - безусловно, нет.
Есть и другие терминологические неувязки. Не совсем ясно, что подразумевается, например, под словосочетанием "система ЭВМ". В современном понимании речь идет о сети (скорее всего, как следует из контекста, о локальной вычислительной сети - ЛВС). В этом случае заключительные слова диспозиции ст.ст. 272, 273 "или их сети" являются повтором. С другой стороны, сеть тоже можно назвать системой ЭВМ. В любом случае в уголовном законе желательно соблюсти единство терминов.
Такого рода неточностей в уголовном законе можно привести достаточно много, однако их трактовка не оказывает особого влияния на квалификацию деяний. Главные понятия и термины, точная и однозначная трактовка которых насущно необходима, рассмотрены выше: информация, компьютер и машинный носитель.
Самой серьезной, на взгляд авторов, остается проблема именно криминализации деяний, сопряженных с компьютерными технологиями. Обстоятельства сложились таким образом, что российский законодатель предпочел "американский" путь кодификации преступлений в указанной сфере. Собственно по этому пути пошло большинство государств в мире. Другое дело -оптимален ли такой подход?
Следует признаться, что один из авторов статьи долгое время был сторонником такого подхода. За несколько лет до принятия нового УК РФ в 1996 году он был разработчиком
IV главы Закона Республики Беларусь "Об информатизации". В частности, законопроект предусматривал правовую защиту от следующих посягательств на информацию и информационные технологии:
- разглашение информации лицом, которому она стала известна в силу его служебных (производственных) обязанностей;
- хищение информации как умышленные действия, направленные на изъятие любым способом данных из систем обработки; подлог в информации, то есть умышленное нарушение ее точности, достоверности;
- неправомерное закрытие (блокирование) информации, то есть умышленное действие, ведущее к недоступности данных для правомочных действий;
- утрата информации, то есть умышленное или неосторожное действие лица, которому были доверены данные в силу его полномочий, в результате которых данные потеряны и стали (либо могли стать) достоянием посторонних лиц;
- порча информации, то есть умышленное либо неосторожное действие, приводящее к ее полному либо частичному уничтожению;
- нарушение работы систем обработки данных, то есть умышленное или неосторожное действие, препятствующее нормальному функционированию программных, технических средств или каналов связи.
Аналогичным путем создавалось уголовно-правовое регулирование в сфере компьютерной информации в России. Это отразилось, например, в проекте Закона РСФСР "Об ответственности за правонарушения при работе с информацией" [9; 10], в котором предполагалось введение целого ряда новых составов преступлений, связанных с компьютерной информацией и рядом других проектов.
Введение в УК РФ гл. 28 "Преступления в сфере компьютерной информации", по мнению авторов, не снимает все проблемы, а нередко приводит лишь к появлению видимости их решения. Данная глава представляется авторам крайне несовершенной (отчасти это рассмотрено выше), а главное, в ней идет речь лишь о
преступлениях, совершаемых в отношении средств компьютерной техники и информации, но не преступлений, совершаемых с их использованием.
Между тем, как показывает судебная практика, в подавляющем большинстве случаев информационные технологии - это не предмет преступления, а только инструмент, орудие, способ его совершения. Безусловно, преступления, совершаемые с использованием современных информационных технологий, представляют повышенную общественную опасность, но действующий УК РФ это обстоятельство вообще никак не учитывает.
А как этот вопрос решается в других системах уголовного законодательства? Например, надо ли нам следовать за законодательством США и Великобритании, которые продолжают расширять перечень криминализируемых деяний в сфере информационных технологий? Вот, например, британский "Закон о терроризме", считающий террористическими действия лиц, которые "серьезно нарушают работу какой-либо электронной системы или серьезно мешают ее работе"4.
Аналогично выглядят антитеррористический закон США, известный как "Акт 2001 г.", и Закон по повышению компьютерной безопасности (С8ЕА). Конгресс США этим законом ввел в оборот новые понятия, расширяющие трактовку термина терроризм, создав новое законодательное понятие "кибертерроризм". К нему законодатель отнес "различные квалифицированные формы хакерства и нанесения ущерба защищенным компьютерным сетям граждан, юридических лиц и государственных ведомств ..., включая ущерб, причиненный компьютерной системе, используемой государственным учреждением при . организации национальной обороны или обеспечении национальной безопасности" (ст. 814)5.
Насколько перспективен такой подход? Представляется, что он крайне ограничен. Если
5 [email protected]. Там же.
следовать указанной логике, то в ближайшее время придется вводить в УК РФ новые статьи, криминализирующие новые виды преступлений, такие как: кибермошенничество, кибер-клевету, кибершпионаж, киберподделку, киберха-латность, киберсаботаж и т.д. до бесконечности, точнее, до исчерпания Уголовного кодекса.
Можно предложить три выхода из сложившейся ситуации.
Вариант 1. Можно вообще отказаться от понятия "компьютерные преступления". Для этого следует выбрать вместо общепринятого "американского" пути другой путь, предложенный законодателями Нидерландов. Уголовное и гражданское право этой страны признает компьютерные программы и машинную информацию товаром (собственностью), посягательства на который подпадают под соответствующие статьи УК (кража, порча и т.п.).
Такая позиция, по мнению авторов, весьма интересна и снимает множество правовых коллизий. При этом, разумеется, остаются реальные проблемы специфики выявления, раскрытия и доказывания такого рода правонарушений, необходимость специальных экспертных методик, сложности в оценке реального материального ущерба и пр. Но теряется главная проблема - квалификация преступлений в указанной сфере.
В какой-то мере российское законодательство начало движение в аналогичном направлении. Ряд такого рода понятий уже были введены в правовое поле: собственник информации, владелец информации, пользователь информации [11]. К сожалению, эти термины, достаточно ясные любому юристу, политику, бизнесмену и даже рядовому обывателю, в редакции нового Федерального закона РФ "Об информации, информационных технологиях и защите информации" заменены неким невнятным определением - обладатель.
Вариант 2. Представляется также достаточно перспективным следующий подход: квалифицировать преступления в сфере информационных технологий по аналогии с гл. 27 УК РФ "Преступления против безопасности движения и эксплуатации транспорта". Преимущество та-
кого взгляда на квалификацию преступлений заключается в том, что в данном случае законодатель рассматривает транспортное средство как источник повышенной опасности, а не в качестве объекта преступления.
Таким же источником, по мнению авторов, являются в настоящее время информационные технологии. Если очень сильно упрощать, то ряд статей гл. 27 УК РФ очень легко (почти путем контекстной замены) "преобразовать" в статьи гл. 28 (тем более что они расположены рядом). Так, например, в ст.ст. 263, 264 и 267 достаточно заменить термин "транспортное средство" на "информационная технология", а в ст.ст. 268, 268 "безопасность движения" - на "информационную безопасность". Во всяком случае, при таком подходе легко снимается ряд рассмотренных выше противоречий, а понятие "компьютерное преступление" охватывает достаточно широкий круг реально существующих деяний.
Вариант 3. Разрешить обозначенную проблему можно и менее радикальным способом, сохранив в неприкосновенности гл. 28 УК РФ, но одновременно добавив квалифицирующий признак - преступления, совершенные с использованием компьютерных технологий, в ряд других статей УК РФ. Этот подход был достаточно полно исследован авторами в ранее изданных работах [4; 12].
Нет необходимости подробно анализировать составы соответствующих статей УК РФ. Вполне достаточно привести перечень тех статей, где применение информационных технологий при совершении различного рода преступлений несомненно увеличивает их общественную опасность. Необходимость добавления в эти статьи такого квалифицирующего признака, как совершенных "с использованием компьютерных технологий", достаточно очевидна и вряд ли может вызвать какие-либо возражения.
Рассматриваемая проблема имеет еще и организационно-правовой аспект, в котором можно выделить: "информационная безопасность - человеческий фактор". Подавляющее большинство нормативных документов, инст-
рукций, наставлений, руководящих указаний в сфере защиты информации сводится зачастую лишь к защите от несанкционированного доступа (НСД). То есть нередко все сводится к борьбе с внешними угрозами для компьютерной информации, в основном, технологического характера. Между тем, как полагает ряд компетентных экспертов, утечка информации лишь в 35% случаев происходит по техническим каналам, в 65% источник такой утечки - сами сотрудники организации.
Заметим, что по исследованиям В.И. Яроч-кина, эти сотрудники делятся на следующие категории относительно их готовности продать информацию: 25% сотрудников - никогда не продадут; 25% - готовы всегда ее продать; а 50% - готовы действовать в этих случаях по ситуации [13]. По данным Института компьютерной безопасности США и ФБР, средний материальный ущерб от внешних посягательств составляет 56 тыс. долл., а устранение последствий от преступных действий собственных злоумышленников наносит ущерб уже в 2,7 млн долл.6
Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно растет. Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации. Этот процесс привел к тому, что произошла "демократизация преступления". Чем больше людей получает доступ к информационной технологии и компьютерному оборудованию, тем больше возникает возможностей для совершения компьютерных преступлений.
Типичный компьютерный преступник - это совсем не обязательно молодой хакер, использующий телефон и домашний компьютер для получения доступа к базам и банкам данных. Типичный компьютерный преступник - это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является. Следовательно, необходимо включать в соответствующие нормативные документы и
6 Inroad Hi - Tech Review. 06.03.03.
инструкции правила и методы выявления нелояльности собственных сотрудников, имеющих доступ к информационным ресурсам учреждения, организации и фирмы.
Это должно происходить на всех этапах: при приеме на работу, в ходе работы (отслеживать изменения в мотивациях, воздействие иных лиц, взаимоотношения в организации, заинтересованность в разглашении, материальное положение субъекта и пр.).
Второй аспект "человеческого фактора" заключается в том, что в настоящее время необходимо не только защищать информацию от человека, но и человека от информации. Данная сторона проблемы почему-то зачастую либо упускается из вида, либо игнорируется. На взгляд авторов, необходимо вести речь о защите человека от информационно-психологического воздействия. Это, может быть, одна из наиболее серьезных проблем, которая, как ни странно, практически не нашла своего отражения ни в научных работах по криминологии и уголовному праву, ни даже в средствах массовой информации.
Нельзя сказать, что она неизвестна. Например, в номенклатуру научных специальностей введена специальность 05.13.19 "Методы и система защиты информации и информационной безопасности". Одной из областей научного исследования, проводимого в рамках названной специальности, является "изучение методов и способов информационно-психологического воздействия на отдельные личности и людские ассоциации с помощью технических средств, на основании которых разрабатываются средства и методы выявления и манипулятивного воздействия и противодействия ему" [14].
Опасность такого воздействия, его распространенность в эпоху внешних и внутренних "информационных войн", выдвигают задачи обнаружения этих явлений и противостояния им на одно из первых мест в иерархии негативных последствий информатизации общества. Информационно-психологическое воздействие известно и широко применяется с древнейших времен. Им всегда пользовались правители и политические лидеры, журналисты, писатели и
преподаватели. Умелые ораторы, гипнотизеры, поэты - они всегда владели этим искусством.
По-настоящему опасным стало такое манипулирование лишь с появлением и развитием научных методов воздействия. В психотерапии новой волны выделяется направление, известное под названием нейро-лингвистического программирования (НЛП). Отличительной особенностью методов НЛП является возможность использования, в частности, речи как средства психологического воздействия. Причем, в техниках НЛП это воздействие реализуется в основном на бессознательном уровне за счет незаметного проникновения во внутренний неосознаваемый мир человека.
Особенно опасными становятся подобные методы, когда для их реализации используются современные информационные технологии. Существующие компьютерные психолингвистические экспертные системы (например, система ВААЛ) позволяют оценивать воздействия на подсознание человека русскоязычных текстов. А также:
- составлять тексты с требуемыми характеристиками воздействия;
- оценивать воздействие на подсознание человека отдельных слов русского языка;
- настраиваться на различные социальные и профессиональные группы людей, которые могут быть выделены по используемой ими лексике;
- оценивать эффективность коммуникации по тому, к каким сенсорным каналам восприятия апеллируют в тексте.
Совершенно очевидно, что широкое распространение и использование подобных автоматизированных систем создает совершенно новую ситуацию, многократно повышает опасность массового скрытого манипулирования сознанием целых социальных групп и слоев, требует адекватных средств выявления такого воздействия, разработки соответствующих методов противодействия и защиты.
Таким образом, в данной статье были рассмотрены только некоторые правовые проблемы, связанные с совершенствованием уголовной ответственности за совершение компьютер-
ных преступлений с учетом современных информационных технологий. При этом стало очевидно, что глава 28 УК РФ, в которой как раз и устанавливается уголовная ответственность за компьютерные преступления, нуждается с этих позиций в дальнейших серьезных изменениях и добавлениях.
Список литературы
1. Петухов Б.В., Маслаков Е.А. Компьютерные преступления: проблема выработки уголовно-правового понятия // Российский следователь. - 2004. - № 9. - С. 37.
2. Бессонов В. А. Комментарий к ст. 272 УК РФ // Комментарий к Уголовному кодексу Российской Федерации; отв. ред. А.А. Чекалин; под ред. В.Т. Томина, В.С. Устинова, В.В. Сверчкова. - 2-е изд., испр. и доп. - М., 2004.
3. Об информации, информационных технологиях и защите информации: Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ // СЗ РФ. - 2006. - № 31. - Ст. 3448.
4. Быков В., Нехорошев А., Черкасов В. Совершенствование уголовной ответственности за преступления сопряженные с компьютерными технологиями // Уголовное право, 2003. - № 3. - С. 9-11 (расширенный вариант см.: http://home.microsoft.com/intl/ru (в соавт.).
5. Черкасов В.Н. Понятия и термины в информатике. Проблемы понимания / Мат-лы межвузов. конф. "Про-
блемы системного подхода при изучении естественнонаучных дисциплин слушателями гуманитарных специальностей". - Саратов: СЮИ МВД РФ, 2004.
6. Черкасов В.Н. Терминологические проблемы преподавания информатики в юридическом вузе / Мат-лы XIII междунар. конф. "Информатизация и информационная безопасность правоохранительных органов". - М.: Академия МВД РФ, 2004.
7. Компьютерные решения. - 2001. - № 8. - С. 1.
8. Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - № 3. - С. 43-47.
9. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. - М.: Новый Юрист, 1998. - С. 18.
10. Проект Уголовного Кодекса Российской Федерации // Российская газета. - 1995. - 25 января.
11. Об информации, информационных технологиях и защите информации: Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ // СЗ РФ. - 2006. - № 31. - Ст. 3448.
12. Черкасов В.Н. К вопросу об уголовной ответственности за преступления, связанные с компьютерными технологиями / Информатизация правоохранительных систем: сб. тр. X междунар. науч. конф. - М.: Академия управления МВД РФ, 2002.
13. Безопасность информационных систем. - М.: Ось-89, 1996.
14. Управление защитой информации. - 2000. - № 2. -
Т. 4.
В редакцию материал поступил 26.02.08.